6.5-6.11
漏洞周报
根据CNNVD网站查询,截至6月11日,CNNVD本周共收录漏洞457个,其中,高危漏洞5个,其余危害等级漏洞452个。
魔方安全提醒您,保护企业网络空间资产安全至关重要!以下漏洞请重点关注。
用友GRP-U8
SQL注入漏洞通告
近日,用友安全中心发布安全通告,修复了一个存在于GRP-U8高校内控管理软件(新政府会计制度专版)的SQL注入漏洞。漏洞编号:暂无。
用友GRP-U8是一种企业资源规划(ERP)软件,该软件旨在为企业提供全面的管理解决方案,包括财务、人力资源、供应链、客户关系管理等方面。
漏洞类型:SQL注入
漏洞等级:高危
漏洞详情:
攻击者可利用services/userInfoWeb下的getUserNameById,进行恶意SQL注入,获取非法信息,对服务及数据造成影响。
影响范围:
GRP-U8-R10 U8Manager
(B、C、G产品系列)
修复建议:
官方已发布了产品更新补丁,相关用户可下载安装。
修复建议
目前官方已发布了相关补丁,受影响用户可下载安装。
获取补丁方式如下:
百度云盘:
https://pan.baidu.com/s/1kCyYd_TuMhVdC7BfN-Y8iw
提取码:tc6x
用友云盘:
https://pan.yonyou.com/s/gUWlv8QkSsY
密码:a61h
GitLab多个安全漏洞通告
近日,GitLab官方发布了安全通告,修复了多个安全漏洞,以下为通告中的高危漏洞信息,其余漏洞信息可登录魔方安全相关系统查看。
GitLab CE/EE 是一款基于Git的代码托管、版本控制、协作开发平台。
存储型XSS漏洞
漏洞类型:XSS
漏洞等级:高危
CVE编号:CVE-2023-2442
漏洞详情:
攻击者可通过构造恶意合并请求从而导致客户端存储型XSS漏洞,代替受害者执行任意操作。
补丁下载链接:
https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-2442.json
正则表达式拒绝服务漏洞
漏洞类型:拒绝服务
漏洞等级:高危
CVE编号:CVE-2023-2199
漏洞详情:
攻击者可通过preview_markdown端点发送精心编制的有效载荷,导致正则表达式拒绝服务。
补丁下载链接:
https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-2199.json
受限IP地址克隆公共项目绕过漏洞
漏洞类型:逻辑漏洞
漏洞等级:中危
CVE编号:CVE-2023-2589
漏洞详情:
攻击者可以使用不被允许的IP地址从公共项目克隆存储库,即使顶级组已经启用IP限制。
补丁下载链接:
https://about.gitlab.com/update
参考链接
https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/
Grafana多个安全漏洞通告
近日,Grafana发布了安全公告,修复了存在的安全漏洞,漏洞编号:CVE-2023-2183、CVE-2023-2801。
Grafana是一个用于监控和可观察性的开源平台。
未授权发送测试告警邮件漏洞
漏洞类型:未授权
漏洞等级:中危
CVE编号:CVE-2023-2183
漏洞详情:
只有查看权限的用户,尽管在用户面板UI中无法使用发送测试告警邮件的选项,但仍可以通过API发送测试告警邮件,API不检查此功能的访问。
补丁下载链接:
https://grafana.com/grafana/download
ds代理条件竞争漏洞
漏洞类型:条件竞争
漏洞等级:高危
CVE编号:CVE-2023-2801
漏洞详情:
用户可以通过公共仪表板使用混合查询,查询多个不同的数据源,但这有可能使Grafana实例崩溃。
补丁下载链接:
https://grafana.com/grafana/download
参考链接
https://grafana.com/security/security-advisories/cve-2023-2183/
https://grafana.com/security/security-advisories/cve-2023-2801/
Vmware多个安全漏洞通告
近日,Vmware发布了安全通告,修复了Vmware Aria Operations for Networks中存在的安全漏洞,漏洞编号:CVE-2023-20887、CVE-2023-20888、CVE-2023-20889。
Vmware Aria Operations for Networks是将私有云、混合云和公共云中的应用程序、基础架构和服务统一到具有通用数据模型的云管理平台。
Aria Operations for Networks
命令注入漏洞
漏洞类型:命令注入
漏洞等级:高危
CVE编号:CVE-2023-20887
漏洞详情:
对VMware Aria Operations for Networks具有网络访问权限的恶意攻击者可能能够执行命令注入攻击,从而导致远程代码执行。
补丁下载链接:
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
Aria Operations for Networks
认证反序列化漏洞
漏洞类型:反序列化
漏洞等级:高危
CVE编号:CVE-2023-20888
漏洞详情:
具有VMware Aria Operations for Networks网络访问权限和有效“成员”角色凭据的恶意攻击者可能能够执行反序列化攻击,从而导致远程代码执行。
补丁下载链接:
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
Aria Operations for Networks
信息泄露漏洞
漏洞类型:信息泄露
漏洞等级:高危
CVE编号:CVE-2023-20889
漏洞详情:
具有VMware Aria Operations for Networks网络访问权限的恶意行为者可能能够执行导致信息泄露的命令注入攻击。
补丁下载链接:
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
参考链接
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
检测方式
魔方外部攻击面管理系统EASM(SaaS)、魔方网络空间资产测绘系统CAM、魔方漏洞管理系统CVM均已收录以上漏洞影响资产的指纹识别规则,详情请登录系统查看。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...